Crítica
Enumeracion de 19 cuentas incluyendo administrador de base de datos en CCE
Categoría
Divulgación de información
Confianza
verified
Observado
2026-04-03
Resumen
La API REST de WordPress de Colombia Compra Eficiente expone 19 cuentas de usuario, incluyendo dbadminRelatoria.
Por qué importa
La cuenta de administrador de base de datos expuesta facilita ataques dirigidos a la plataforma de contratacion publica.
Cómo mitigar
- •Configurar el WebServer para no enviar headers de versión: `ServerTokens Prod` (Apache); `expose_php = Off` (PHP).
- •Ocultar X-Powered-By, X-Generator, X-AspNetMvc-Version en respuestas externas.
- •No publicar source maps en producción — separar build de dev y prod.